setoptions 命令 — 设置t CA Access Control 选项

selang 参考指南 › selang 命令 › AC 环境下的 selang 命令 › setoptions 命令 — 设置t CA Access Control 选项

setoptions 命令 — 设置t CA Access Control 选项

在 AC 环境中有效

setoptions 命令在运行的系统中设置系统范围的 CA Access Control 选项。例如，您可以使用 setoptions 为每个类或所有类启用或禁用安全检查，设置密码策略，以及列出 CA Access Control 选项的当前设置。

注意：此命令同样存在于 Windows 环境中，但操作方式有所不同。

需要具有 ADMIN 属性才能使用 setoptions 命令，但存在例外情况 - 只需具有 AUDITOR 或 OPERATOR 属性即可使用命令 setoptions 列表。

此命令格式如下：

{setoptions|so} \

[accgrr|accgrr‑] \
[accpacl|accpacl‑] \
[class+ (className)] \
[class‑ (className)] \
[class (className)] \
[flags{+|-} (I|W)] \
[cng_adminpwd|cng_adminpwd‑] \
[cng_ownpwd|cng_ownpwd‑] \
[cwarnlist] \
[dms{+|-}(dms@hostname)] \
[inactive(nDays)|inactive‑] \
[is_dms{+|-}] \
[list] \
[maxlogins(nLogins)|maxlogins‑] \
[password( \

[{history(nStoredPasswords) | history‑}] \
[(interval(nDays) | interval‑)] \
[(min_life(nDays) | min_life‑)] \
[{rules( \
	[alpha(nCharacters)] \
	[alphanum(nCharacters)] \
	[(bidirectional) | (bidirectional-)] \
	[grace(nLogins)] \
	[lowercase(nCharacters)] \
	[min_len(nCharacters)]
	[max_len(nCharacters)] \
	[max_rep(nCharacters)] \
	[{namechk|namechk‑}]
	[numeric(nCharacters)] \
	[{oldpwchk|oldpwchk‑}]
	[prohibited(prohibitedCharacters)] \
	[special(nCharacters)] \
	[sub_str_len(nCharacters)] \
	[uppercase(nCharacters)] \
	[use_dbdict|use_dbdict-] \
)|rules‑}] \

)] \

accgrr

启用累积组权限 (ACCGRR) 选项。

默认值为 enabled。

accgrr‑

禁用累积组权限 (ACCGRR) 选项。

accpacl

在所有资源中启用使用 PACL。

accpacl‑

禁用使用 PACL。

class (className)

为 CA Access Control 类设置或清除设置。

class+(className)

启用一个或多个 CA Access Control 类。必须启用 CA Access Control 类才能保护该类的资源。在激活类之前，必须定义必要的记录以允许访问属于该类的资源。有关随 CA Access Control 提供的资源类的详细信息，请参阅《端点管理指南：用于 UNIX》。

请使用下列值之一：

CA Access Control 类的名称
SECLEVEL。这可启用安全级别检查。
PASSWORD。这可激活密码规则。在 Windows 上，还可启用任意长度的密码。

class‑(className)

禁用一个或多个 CA Access Control 类。 CA Access Control 不保护属于禁用类的资源。请使用下列值之一：

CA Access Control 类的名称
SECLEVEL。这可禁用安全级别检查。
PASSWORD。这可禁用密码规则。在 Windows 上，还可禁用长密码。

您无法禁用类 GROUP、SECFILE、SEOS、UACC 和 USER。

cng_adminpwd

使具有 PWMANAGER 属性的用户能够更改 ADMIN 用户的密码。

cng_adminpwd‑

禁止具有 PWMANAGER 属性的用户更改 ADMIN 用户的密码。这是默认设置。

cng_ownpwd

使用户能够通过 selang 更改自己的密码。

cng_ownpwd‑

禁止用户通过 selang 更改自己的密码。这是默认设置。

cwarnlist

显示关于哪些类处于警告模式的数据表。

dms{+|-}(dms@hostname)

向/从该数据库的 DMS 数据库列表添加/删除 DMS 数据库。

flags{+|-} (I|W)

设置或清除与类有关的功能。有效值包括：

I: 指定类中的对象区分大小写。
W: 指定类的警告模式。

注意：标志区分大小写；请使用大写字符。

history(NStoredPasswords)

指定历史记录列表中存储的以前使用的密码的数目。更改密码后，之前的密码将添加至列表，最旧的密码将从该列表中删除（如果需要）。 CA Access Control 可防止用户将其密码更改为列表中已有的密码。

输入从 1 到 24 的整数。如果指定为零，将不保存密码。

在 Windows 上，history 选项可启用长于 8 个字符的密码。存储密码时使用的加密形式由 setoptions bidirectional 或 bidirectional- 选项确定。

在 UNIX 上，history 选项不影响是否启用长密码。使用 passwd_local_encryption_method 配置设置以确定是否启用长密码。

history‑

禁用密码历史记录检查。

在 Windows 上，该选项可禁用长密码。

inactive(nDays)

指定经过多少个不活动天后挂起用户的登录。空闲日是指用户不登录的日子。请输入正整数。如果将 inactive 设置为零，效果与使用 inactive‑ 参数相同。

非活动‑

禁用非活动登录检查。

interval(nDays)

interval(nDays)设置在设置或更改密码后且在系统提示用户输入新密码之前必须经过的天数。输入正整数或零。如果时间间隔为零，则禁用对用户的密码时间间隔检查。如果不希望密码过期，请将时间间隔设置为零。

如果实用程序 segrace 是用户登录脚本的一部分，则 CA Access Control 会在达到指定天数时，通知这些用户当前的密码已到期。用户可立即更新密码，或继续使用旧密码，直到达到宽限登录次数。达到宽限登录次数后，将拒绝用户访问系统，并且用户必须与系统管理员联系以选择新密码。

interval‑

取消密码时间间隔设置。

is_dms+

将当前数据库指定为 DMS。

is_dms-

取消将当前数据库指定为 DMS。

list

在屏幕上显示当前的 CA Access Control 设置。

maxlogins(nLogins)

设置用户可同时登录的最多终端数。 0（零）值表示用户可同时从任意数量的终端登录。通过在用户的用户记录中指定值，可以覆盖该值。

注意：如果将 maxlogins 设置为 1，则无法运行 selang。必须关闭 CA Access Control，将 maxlogins 设置更改为大于 1 的值，然后重新启动 CA Access Control。

注意：仅在 Unix 和 Linux 操作系统上有效。

maxlogins‑

禁用全局最大登录检查。用户可以登录的终端数目为无限个，除非在该用户的用户记录中对该用户的登录进行了限制。

min_life(NDays )

设置密码更改间隔的最小天数。请输入正整数。

password

设置密码选项。

规则

设置一个或多个供 CA Access Control 用于检查新密码质量的密码规则。这些规则有：

alpha(nCharacters)

设置新密码必须包含的最少字母字符数。输入一个整数。

alphanum(nCharacters)

设置新密码必须包含的最少字母数字字符数。输入一个整数。

bidirectional

指定将密码作为 PMDB 的一部分发送至其他系统时，以明文（在加密消息中）分发这些密码。

在 UNIX 上，此选项与设置以下 passwd 区设置值等效：

Passwd_distribution_encryption_mode=bidirectional

注意：建议您设置配置设置，而不要使用 setoptions 命令。

在 Windows 上，密码以在注册表值中指定的加密方式存储在历史记录列表中：

HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package

bidirectional-

指定将密码以其哈希加密形式发送。

在 Windows 上，所用哈希函数为 SHA-1。

在 UNIX 上，此选项与设置以下 passwd 区设置值等效：

Passwd_distribution_encryption_mode=compatibility

注意：建议您设置配置设置，而不要使用 setoptions 命令。

如果指定了该选项，则将无法在不同种类的操作系统之间分发长密码。

grace(nLogins)

设置在挂起用户之前允许的最大宽限登录次数。宽限登录次数必须介于 0 和 255 之间（包含 0 和 255）。

lowercase(nCharacters)

设置新密码必须包含的最少小写字符数。输入一个整数。

min_len(nCharacters)

设置最小密码长度。输入新密码必须包含的最少字符总数。

max_len(nCharacters)

设置最大密码长度。输入新密码最多必须包含的字符总数。

max_rep(nCharacters)

设置新密码必须包含的最大重复字符数。输入一个整数。

namechk

检查密码是否包含用户的名称或被用户的名称包含。默认情况下，CA Access Control 将执行此检查。

namechk‑

关闭 namechk 检查。

numeric(nCharacters)

设置新密码必须包含的最少数字字符数。输入一个整数。

oldpwchk

检查新密码是否包含要替换的密码或被要替换的密码包含。默认情况下，CA Access Control 将执行此检查。

注意：仅在 Unix 和 Linux 操作系统上有效。

oldpwchk‑

关闭 oldpwchk。

prohibited(prohibitedCharacters)

指定用户不能在密码中使用的字符。输入禁止字符。

注意：我们建议您验证控制字符“\”和“t”都在 prohibitedCharacters 列表中被指定，阻止使用 Tab 键。

special(nCharacters)

设置新密码必须包含的最少特殊字符数。输入一个整数。

sub_str_len(nCharacters)

设置新密码可以与以前密码共享的最大字符数。输入一个整数。

uppercase(nCharacters)

设置新密码必须包含的最少大写字符数。输入一个整数。

use_dbdict | use_dbdict-

设置密码词典。 use_dbdict 将标记设置为 db，并将密码与 CA Access Control 数据库中的单词进行比较。 use_dbdict- 将内标识设置为 file 并根据在 UNIX 的 seos.ini 文件或 Windows 的 Windows 注册表中指定的文件检查密码。

规则‑

禁用密码质量检查。 rules 参数指定的规则均不会用于密码质量检查。

示例：设置 CA Access Control 选项

用户 John 希望激活 OpsAct 类，这是一个安装定义的类，用于保护操作员的操作。
用户 John 拥有 ADMIN 属性。
```
setoptions class+(OpsAct)
```
用户 Mike 希望设置密码策略，以强制用户提供长度至少为 6 个字符的密码。 Mike 还希望激活密码策略实施。
用户 Mike 具有 ADMIN 属性。
```
setoptions class+(PASSWORD)
setoptions password(rules(min_len(6)))
```
用户 SecAdmin 希望启用安全级别检查。
用户 SecAdmin 具有 ADMIN 属性。
```
setoptions class+(SECLEVEL)
```
用户 Janani 希望为该数据库设置一个将通知发送到的 DMS。
用户 Janani 拥有 ADMIN 属性。
```
setoptions dms+(apache@myHost)
```

示例：将类置于警告模式

通过对类设置 Warning 属性将类置于警告模式。您可以使用 setoptions selang 命令执行该操作，如下如示：

setoptions class(classname) flags+ (W)

classname: 定义您要置于警告模式的类的名称。

注意：W 标志区分大小写，该标志必须为大写。

要清除类的警告模式，您还可以使用 setoptions 命令，如下所示：

setoptions class(classname) flags- (W)

警告模式

就该主题发送电子邮件至 CA Technologies